28.02.2019

Der Cybersecurity Act rückt näher – Welche Konsequenzen gibt es für Unternehmen?

Ihr ISiCO-Experte für das Thema:
Dr. Jan Scharfenberg
Director Informationssicherheit

Anfang Dezember 2018 haben sich die EU-Kommission, der Rat der EU und das EU-Parlament im Rahmen der sog. Trilogverhandlungen auf die Inhalte des Cybersecurity-Acts geeinigt .

Insbesondere wurde ein Kompetenzzuwachs für die Europäische Agentur für Netz- und Informationssicherheit (ENISA) beschlossen. Diese soll in Zukunft auch als Agentur der Europäischen Union für Cybersicherheit tätig werden. Als Agentur kommt ihr vor allem die Aufgabe zu, Bürger und Unternehmen bei der Umsetzung des Cybersecurity Acts zu unterstützen und diese Umsetzung zu koordinieren. Im Rahmen der Trilogverhandlungen wurde beschlossen die Anzahl der Mitarbeiter der ENISA von 84 auf 125 zu verdoppeln. Diese Erhöhung hängt vor allem mit der (neben der allgemeinen Unterstützung und Koordination) zweiten Aufgabe der ENISA in Bezug auf den Cybersecurity Act zusammen. Sie soll ermitteln und konkretisieren, wie die Zertifizierungssysteme für Cybersicherheit konkret ausgestaltet werden sollen.

Kostenfreie Expertise im E-Mail-Postfach

Alle wichtigen Neuigkeiten zum Datenschutz & zur Informationssicherheit einmal monatlich bequem im E-Mail-Postfach – natürlich kostenlos.

Was ist die Summe aus 5 und 1?

Mit Klick auf den Button stimmen Sie dem Versand unseres Newsletters und der aggregierten Nutzungsanalyse (Öffnungsrate und Linkklicks) zu. Sie können Ihre Einwilligung jederzeit widerrufen, z.B. über den Abmeldelink im Newsletter. Mehr Informationen: Datenschutzerklärung.

Deutschland und der EU-Cybersecurity-Act

Aus nationaler Perspektive verläuft die Entwicklung eines „IT-Sicherheitsgesetzes 2.0“ in Deutschland aktuell parallel zu den EU-Bemühungen um den Cybersecurity Act. Auch das deutsche Gesetz, das noch in der ersten Jahreshälfte 2019 auf den Weg gebracht werden soll, sieht ein Zertifikationssystem für Produkte und Dienstleistungen vor. Es ist daher von großer Bedeutung, dass Deutschland innerhalb der EU darauf hinwirkt, dass es zu keiner – unübersichtlichen- Doppelung von Zertifikaten kommt, sondern dass die selben Anforderungen für Zertifikate in der EU und Deutschland herrschen. Da die EU aber bereits angekündigt hat mitgliedstaatliche Vorgaben bei der Ausgestaltung des Systems zur Zertifizierung zu berücksichtigen, sind die Weichen für ein solches Vorgehen gestellt. Darüber hinaus stellt sich die Frage, wie mit der aktuell im Rahmen des IT-Sicherheitsgesetzes 2.0 umstrittenen Pflicht zur Meldung für Sicherheitslücken umgegangen werden soll. Innerhalb der deutschen Politik ist umstritten, ob eine umfassende Meldepflicht eingeführt werden soll (so wohl die aktuelle Position des Bundesinnenministers: https://www.golem.de/news/it-sicherheitsgesetz-2-0-wo-ist-das-meldegesetz-fuer-it-sicherheitsluecken-1812-138295.html) oder ob bestimmte Sicherheitslücken verschwiegen werden dürfen, um diese – heimlich – zu schließen oder bewusst offen zu lassen, um Hacker fassen zu können.

Würdigung und Diskussion der beschlossenen Veränderungen

Grundsätzlich bleibt es dabei, dass gerade deutsche Produkte innerhalb Europas bereits ein sehr hohes Sicherheitsniveau aufweisen und daher weniger Umstellungen befürchten müssen, um ein hohes Sicherheitszertifikat zu erhalten. Dies gilt umso mehr, als dass mitgliedstaatliche Vorgaben bei der EU-weiten Zertifizierung berücksichtigt werden sollen. Außerdem kann ein von der EU zertifiziertes Produkt außerhalb der EU als besonders sorgsam geprüft eingeordnet werden, wodurch die Zertifizierung Wettbewerbsvorteile schaffen würde.

Allerdings verlangen bereits einige Verbraucherschützer das Zertifizierungssystem in Richtung einer echten Produkthaftung auszuhaben. Dies hieße insbesondere, dass Hersteller entsprechender Soft- oder Hardware, Router etc. im Falle von Cyberangriffen oder sonstigen Lacks für die entstandenen Schäden haften, ohne dass es im konkreten Einzelfall auf ihr Verschulden ankommt. Dieser Gedanke kann nicht überzeugen. So müsste die Produkthaftung umso höher ausfallen, je sicherer ein Produkt zertifiziert ist, weil gerade in solchen Fällen Verbraucher und Unternehmen mehr Geld investieren und sich auf mehr Sicherheit verlassen, und es einem Grundgedanken der Produkthaftung entspricht, das Vertrauen der Erwerber in die Produkte zu schützen. Damit würden Hersteller besonders sicherer Produkte bestraft.

Lernen Sie unsere Expertise in der Informationssicherheit kennen

Schützen Sie mit unserer Expertise Ihre digitalen Vermögenswerte mit maßgeschneiderten IT-Sicherheitslösungen.

Jetzt Kennenlerntermin vereinbaren

Fazit und Ausblick

Die Trilogverhandlungen haben zu einer Einigkeit bezüglich des dreistufigen Zertifizierungssystems geführt. Zudem sollen die Zertifizierungen anfänglich noch freiwillig bleiben. Allerdings wird die EU-Kommission untersuchen, welchen Effekt freiwillige Zertifizierungsvorgaben auf die Cybersicherheit haben. Es scheint wahrscheinlich, dass die Zertifizierungen ab 2023 verbindlich durchzuführen sind, sodass Unternehmen bereits jetzt die konkreten Entwicklungen um die Vorgaben für Zertifizierungen verfolgen und möglicherweise umsetzen sollten. Der Erfolg des Zertifizierungssystems steht und fällt mit Transparenz und Effektivität. Es ist daher wünschenswert, dass konkret umsetzbare Vorgaben von der EU entwickelt werden, die das Risiko erfolgreicher Cyberangriffe zu minimeren.

Weitere Neuigkeiten

17.07.2024

Neue Regelungen für Ihr ISMS: Diese gesetzlichen Anforderungen muss Ihre IT-Sicherheit erfüllen

In den letzten Jahren haben zahlreiche neue gesetzliche Regelungen zur IT-Sicherheit Unternehmen vor erhebliche Herausforderungen gestellt. Diese Gesetze fordern von Unternehmen umfassende Maßnahmen zur Sicherung ihrer IT-Infrastruktur und Daten. Angesichts dieser wachsenden Anforderungen bietet sich die Einführung eines Informationssicherheits-Managementsystems (ISMS) an. Ein ISMS hilft nicht nur dabei, die gesetzlichen Anforderungen zu erfüllen, sondern trägt auch zur Verbesserung der allgemeinen Sicherheitslage eines Unternehmens bei.

Weiterlesen …

09.07.2024

NIS2-Richtlinie: Machen Sie Ihr Unternehmen fit für Oktober 2024 – mit unserem Leitfaden zum Download

Mit der nahenden Deadline im Oktober 2024 für die nationale Umsetzung der Network and Information Security (NIS) Directive 2 (NIS2) stehen schätzungsweise 30.000 deutsche Unternehmen vor der Herausforderung, gesetzliche Vorgaben zu erfüllen und die Sicherheit ihrer Informationstechnologie nachhaltig zu verbessern. In diesem Zusammenhang bieten wir umfassende Lösungen an, die darauf ausgerichtet sind, Ihr Unternehmen durch maßgeschneiderte Risikoanalysen, die Implementierung fortschrittlicher Cyber-Risikomanagementpraktiken und robuste Geschäftskontinuitätspläne auf den neuesten Stand der Technik zu bringen.

Weiterlesen …